Schweizerform LogoSchweizerform
Back to Blog

Warum Verschlüsselung für Formulardaten wichtig ist

Die meisten Online-Formular-Tools speichern Eingaben im Klartext. Erfahren Sie, warum Ende-zu-Ende-Verschlüsselung und Zero-Knowledge-Architektur der einzige Weg sind, sensible Formulardaten wirklich zu schützen.

Warum Verschlüsselung für Formulardaten wichtig ist

Jeden Tag übermitteln Millionen von Menschen sensible Informationen über Online-Formulare — Krankengeschichten, Finanzdaten, Mitarbeiterfeedback, juristische Dokumente und persönliche Identifikationsdaten. Hinter den Kulissen liegen die meisten dieser Daten im Klartext auf einem Datenbankserver, geschützt durch kaum mehr als ein Anmeldepasswort und ein Versprechen.

Für Organisationen, die diese Daten erfassen, ist die Frage nicht mehr ob ein Datenleck passieren könnte, sondern wann. In diesem Artikel erklären wir, warum herkömmliche Formular-Tools Ihre Daten gefährden, wie Ende-zu-Ende-Verschlüsselung die Gleichung verändert und was Zero-Knowledge-Architektur in der Praxis bedeutet.

Das versteckte Risiko von Klartext-Formulardaten

Wenn ein Befragter bei einem typischen Formular-Tool auf "Absenden" klickt, werden die Daten über eine HTTPS-Verbindung an den Server des Anbieters übertragen. HTTPS verschlüsselt Daten während der Übertragung — aber sobald sie ankommen, entschlüsselt der Server sie und speichert sie im Klartext. Ab diesem Punkt kann jeder mit Datenbankzugang sie lesen.

Dies ist keine theoretische Schwachstelle. Es ist die Standardarchitektur praktisch jedes gängigen Formular-Builders. Die Daten sind lesbar für:

  • Mitarbeiter des Formularanbieters — Entwickler, Support-Personal, Datenbankadministratoren
  • Angreifer, die über einen Servereinbruch, eine falsch konfigurierte API oder kompromittierte Zugangsdaten Zugriff erlangen
  • Behörden, die Vorladungen oder Datenanfragen an den Anbieter richten
  • Drittanbieterdienste, die über Integrationen, Webhooks oder Analyse-Pipelines angebunden sind

Das Ausmass des Problems

Laut dem IBM Cost of a Data Breach Report 2024 erreichten die durchschnittlichen Kosten eines Datenlecks weltweit 4,88 Millionen USD — der höchste jemals verzeichnete Wert. Datenlecks im Gesundheitswesen kosteten im Schnitt 9,77 Millionen USD und machten es zum vierzehnten Mal in Folge zur teuersten Branche.

HTTPS schützt Daten während der Übertragung. Es tut nichts, um Daten dort zu schützen, wo sie gespeichert werden. Wenn Ihr Formularanbieter Ihre Eingaben lesen kann, kann das auch jeder, der dessen Infrastruktur kompromittiert.

Was Ende-zu-Ende-Verschlüsselung wirklich bedeutet

Ende-zu-Ende-Verschlüsselung (E2EE) ist ein Modell, bei dem Daten auf dem Gerät des Absenders verschlüsselt und nur vom vorgesehenen Empfänger entschlüsselt werden können. Kein Vermittler — einschliesslich des Dienstanbieters — kann zu irgendeinem Zeitpunkt auf den Klartext zugreifen.

Im Kontext von Online-Formularen bedeutet das:

  1. Der Browser des Befragten verschlüsselt die Formulardaten, bevor sie sein Gerät verlassen
  2. Die verschlüsselten Daten werden über HTTPS übertragen und als Chiffretext auf dem Server gespeichert
  3. Der Server besitzt nie den Entschlüsselungsschlüssel — er speichert Daten, die er nicht lesen kann
  4. Nur der Formularbesitzer kann mit seinem privaten Schlüssel die Eingaben entschlüsseln und einsehen

Das unterscheidet sich grundlegend von "Verschlüsselung im Ruhezustand" (encryption at rest), bei der der Server die Daten nach dem Empfang im Klartext mit seinem eigenen Schlüssel verschlüsselt. Bei der Verschlüsselung im Ruhezustand hat der Server weiterhin den Schlüssel — der Schutz richtet sich gegen den physischen Diebstahl der Festplatte, nicht gegen einen Software-Einbruch oder Insider-Zugriff.

E2EE vs. Verschlüsselung im Ruhezustand

Verschlüsselung im Ruhezustand schützt Daten vor physischem Hardware-Diebstahl. Ende-zu-Ende-Verschlüsselung schützt Daten vor allen ausser dem vorgesehenen Empfänger — einschliesslich dem Plattformbetreiber. Sie lösen unterschiedliche Probleme.

Zero-Knowledge-Architektur: Vertrauen durch Design

Eine Zero-Knowledge-Architektur geht über E2EE hinaus. Das System ist so konzipiert, dass der Dienstanbieter nie die technische Möglichkeit hat, auf Ihre Daten zuzugreifen — nicht durch Richtlinien, sondern durch kryptographisches Design. Es gibt keinen Hauptschlüssel, keine Admin-Hintertür und keine Möglichkeit für Support-Mitarbeiter, eine Eingabe "nachzuschlagen".

Das ist wichtig, weil vertrauensbasierte Sicherheit fragil ist. Richtlinien ändern sich, Mitarbeiter machen Fehler und Unternehmen werden übernommen. Kryptographische Garantien unterliegen keinem dieser Risiken.

AnsatzServer kann Daten lesen?Schutzumfang
Klartext (die meisten Formular-Tools)Ja — voller ZugriffKeiner über Zugriffskontrolle hinaus
Verschlüsselung im RuhezustandJa — Server hat den SchlüsselNur physischer Festplattendiebstahl
Ende-zu-Ende-VerschlüsselungNein — nur der Empfänger kann entschlüsselnEinbrüche, Insider-Zugriff, Vorladungen
Zero-Knowledge E2EENein — Anbieter kann designbedingt nicht entschlüsselnAlles oben Genannte + Anbieter-Kompromittierung

Warum es für die Compliance wichtig ist

Datenschutzvorschriften weltweit werden strenger, und viele verlangen inzwischen die Verschlüsselung personenbezogener Daten oder empfehlen sie nachdrücklich. Wenn Ihre Organisation Daten von Personen in regulierten Rechtsgebieten erfasst, hat das gewählte Verschlüsselungsmodell direkte Compliance-Auswirkungen.

  • Das Schweizer nDSG (neues Datenschutzgesetz) verlangt angemessene technische Massnahmen zum Schutz personenbezogener Daten — Verschlüsselung wird ausdrücklich als empfohlene Schutzmassnahme genannt
  • Die EU-DSGVO (Artikel 32) nennt Verschlüsselung als geeignete technische Massnahme und erkennt sie als Faktor an, der die Meldepflicht bei Datenschutzverletzungen reduzieren kann
  • HIPAA (US-Gesundheitswesen) verlangt die Verschlüsselung elektronischer geschützter Gesundheitsinformationen (ePHI) bei der Übertragung und Speicherung — Ende-zu-Ende-Verschlüsselung erfüllt beides
  • PCI DSS schreibt die Verschlüsselung von Karteninhaberdaten vor, und Zero-Knowledge-Modelle schliessen den Anbieter vollständig aus dem Geltungsbereich aus

Reduzierte Auswirkungen bei Datenlecks

Sowohl nach DSGVO als auch nach nDSG muss bei verschlüsselten Daten, die für Unbefugte unlesbar sind, im Falle eines Datenlecks möglicherweise keine individuelle Benachrichtigung erfolgen — was das rechtliche, finanzielle und Reputationsrisiko erheblich reduziert.

So setzt Schweizerform dies um

Schweizerform ist von Grund auf mit einer Zero-Knowledge-, Ende-zu-Ende-verschlüsselten Architektur aufgebaut. Es gibt keinen Modus zum Umschalten und keine Premium-Stufe zum Freischalten — Verschlüsselung ist der Standard für jedes Formular, in jedem Tarif.

Der Verschlüsselungsablauf, Schritt für Schritt

1

Formularerstellung

Wenn Sie ein Formular erstellen, generiert Ihr Browser einen einzigartigen AES-256-Formularschlüssel und ein RSA-OAEP-Schlüsselpaar. Der private Schlüssel wird mit Ihrem Zugangscode verschlüsselt und gespeichert — der Server sieht nie den privaten Klartext-Schlüssel.

2

Einreichung durch den Befragten

Wenn jemand Ihr Formular ausfüllt, generiert dessen Browser einen einmaligen symmetrischen AES-256-GCM-Schlüssel, verschlüsselt alle Antworten und Dateianhänge clientseitig und umhüllt den symmetrischen Schlüssel mit dem öffentlichen RSA-Schlüssel Ihres Formulars.

3

Serverspeicherung

Unsere Server empfangen und speichern nur den verschlüsselten Chiffretext. Die verschlüsselte Nutzlast ist durch zusätzlich authentifizierte Daten (AAD) an das spezifische Formular und die Einreichung gebunden, was Cross-Submission-Manipulation verhindert.

4

Entschlüsselung durch den Besitzer

Wenn Sie Eingaben anzeigen, verwendet Ihr Browser Ihren Zugangscode, um Ihren Hauptschlüssel abzuleiten, den privaten Schlüssel des Formulars zu entpacken, den symmetrischen Schlüssel der Einreichung zu entschlüsseln und schliesslich die Antworten zu entschlüsseln — alles im Browser.

Was das in der Praxis bedeutet

  • Ein Servereinbruch legt null Klartext-Formulardaten offen
  • Schweizerform-Mitarbeiter können Ihre Eingaben nicht lesen — selbst wenn sie wollten
  • Eine behördliche Vorladung an Schweizerform liefert nur verschlüsselten Chiffretext
  • Dateianhänge werden im Browser vor dem Upload verschlüsselt — Dateinamen werden serverseitig zufällig generiert
  • Keine Entschlüsselungsschlüssel werden jemals über das Netzwerk übertragen

Häufige Einwände — und warum sie nicht standhalten

"Wir verwenden bereits HTTPS"

HTTPS verschlüsselt die Verbindung zwischen Browser und Server. Sobald die Daten auf dem Server ankommen, werden sie entschlüsselt und im Klartext gespeichert. HTTPS ist notwendig, aber nicht ausreichend. Es schützt Daten während der Übertragung — nicht im Ruhezustand und nicht vor dem Serverbetreiber.

"Unser Anbieter verschlüsselt Daten im Ruhezustand"

Verschlüsselung im Ruhezustand bedeutet, dass der Anbieter Ihre Daten auf seiner Festplatte mit einem von ihm kontrollierten Schlüssel verschlüsselt. Wird der Anbieter auf Anwendungsebene kompromittiert (was bei den meisten Datenlecks der Fall ist), erhält der Angreifer den Schlüssel zusammen mit den Daten.

"Wir vertrauen unserem Formularanbieter"

Vertrauen ist kein Sicherheitsmodell. Mitarbeiter wechseln, Unternehmen werden übernommen, Richtlinien ändern sich und Fehler passieren. Zero-Knowledge-Verschlüsselung entfernt Vertrauen vollständig aus der Gleichung. Ihre Daten werden durch Mathematik geschützt, nicht durch Versprechen.

Das einzig wirklich sichere System ist eines, das nicht erfordert, dem Betreiber zu vertrauen. Wenn Ihr Formular-Tool Ihre Daten lesen kann, sind Ihre Daten nur so sicher wie das schwächste Glied dieses Unternehmens.

Wer sollte verschlüsselte Formulare nutzen?

Wenn Sie eines der Folgenden über Online-Formulare erfassen, sollten Sie Ende-zu-Ende-Verschlüsselung verwenden:

  • Patientenaufnahmeformulare, medizinische Fragebögen oder Gesundheitsbewertungen
  • Mitarbeiterfeedback, HR-Beschwerden oder Whistleblower-Meldungen
  • Mandantenaufnahme, Falldetails oder vertrauliche Offenlegungen
  • Finanzinformationen, Steuerdetails oder Versicherungsansprüche
  • Kundendaten, die der DSGVO, dem nDSG, HIPAA oder anderen Vorschriften unterliegen
  • Interne Umfragen, bei denen Anonymität und Vertraulichkeit erwartet werden

Der gemeinsame Nenner ist einfach: Wenn die Daten bei einer Offenlegung Schaden anrichten würden, sollten sie niemals im Klartext auf dem Server eines anderen existieren.

Das Fazit

Verschlüsselung ist keine Premium-Funktion — sie ist eine Grundanforderung für jedes Tool, das sensible Daten verarbeitet. Der Unterschied zwischen "verschlüsselt während der Übertragung" und "Ende-zu-Ende-verschlüsselt" ist der Unterschied zwischen der Hoffnung, dass Ihre Daten sicher sind, und der Gewissheit.

Schweizerform existiert, weil wir glauben, dass Formulardaten dasselbe Schutzniveau verdienen wie Ihre Bankdaten und privaten Nachrichten. Zero-Knowledge, Ende-zu-Ende-Verschlüsselung, Schweizer Hosting und volle Konformität mit dem nDSG — nicht als Zusatzoptionen, sondern als Fundament.

Schweizerform bietet Ende-zu-Ende-Verschlüsselung in jedem Tarif, einschliesslich dem kostenlosen. Keine Kreditkarte erforderlich.